- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.24.0-2
IPTABLES(8) | iptables 1.8.9 | IPTABLES(8) |
BEZEICHNUNG¶
iptables/ip6tables — Administrationswerkzeug für IPv4/IPv6-Paketfilterung und NAT
ÜBERSICHT¶
iptables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung
ip6tables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung
iptables [-t Tabelle] -I Kette [Regelnummer] Regelfestlegung
iptables [-t Tabelle] -R Kette Regelnummer Regelfestlegung
iptables [-t Tabelle] -D Kette Regelnummer
iptables [-t Tabelle] -S [Kette [Regelnummer]]
iptables [-t Tabelle] {-F|-L|-Z} [Kette [Regelnummer]] [Optionen…]
iptables [-t Tabelle] -N Kette
iptables [-t Tabelle] -X [Kette]
iptables [-t Tabelle] -P Kette Ziel
iptables [-t Tabelle] -E Alterkettenname Neuerkettenname
Regelfestlegung = [Übereinstimmungen…] [Ziel]
Übereinstimmung = -m Übereinstimmungsname [Übereinstimmungsabhängige_Optionen]
Ziel = -j Zielname [Zielabhängige_Optionen]
BESCHREIBUNG¶
Iptables und ip6tables werden zur Einrichtung, der Pflege und Untersuchung der Tabellen der IPv4- und IPv6-Paketfilterregeln im Linux-Kernel verwandt. Es können mehrere verschiedene Tabellen definiert werden. Jede Tabelle enthält eine Reihe von eingebauten Ketten und kann auch benutzerdefinierte Ketten enthalten.
Jede Kette ist eine Liste von Regeln, die mit einer Reihe von Paketen übereinstimmen können. Jede Regel legt fest, was mit einem übereinstimmenden Paket passieren soll. Dies wird »Ziel« genannt. Dabei kann zu einer benutzerdefinierten Kette in der gleichen Tabelle gesprungen werden.
ZIELE¶
Eine Firewall-Regel legt Kriterien für ein Paket und ein Ziel fest. Falls das Paket nicht übereinstimmt, wird die nächste Regel in der Kette geprüft; falls es übereinstimmt, dann wird die nächste Regel durch den Wert des Ziels festgelegt. Diese kann der Name einer benutzerdefinierten Kette, eine der in iptables-extensions(8) beschriebenen Ziele oder eine der besonderen Werte ACCEPT, DROP oder RETURN sein.
ACCEPT bedeutet, dass das Paket durchgelassen werden soll. DROP bedeutet, dass das Paket fallengelassen werden soll. RETURN bedeutet, dass der Durchlauf dieser Kette beendet und bei der nächsten Regel in der vorherigen (aufrufenden) Kette fortgefahren werden soll. Falls das Ende einer eingebauten Kette erreicht wird oder eine Übereinstimmung einer Regel in einer eingebauten Kette mit dem Ziel RETURN erfolgt, dann bestimmt das durch die Ketten-Richtlinie festgelegte Ziel das Schicksal des Pakets.
TABELLEN¶
Es gibt derzeit fünf unabhängige Tabellen. (Die zu einem Zeitpunkt vorhandenen Tabellen hängen von den Kernelkonfigurationsoptionen und der Existenz der entsprechenden Module ab).
- -t, --table Tabelle
- Diese Option legt die Paketübereinstimmungstabelle fest, auf die
der Befehl agieren soll. Falls der Kernel mit automatischen Modulladen
konfiguriert ist, wird versucht, das entsprechende Modul für diese
Tabelle zu laden, falls es noch nicht bereits vorhanden ist.
Die Tabellen sind wie folgt:
- filter:
- Dies ist die Standardtabelle (falls keine Option »-t« übergeben wurde). Sie enthält die eingebauten Ketten INPUT (für Pakete mit Ziel lokaler Sockets), FORWARD (für Pakete, die durch die Maschine weitergeleitet werden) und OUTPUT (für lokal erstellte Pakete).
- nat:
- Diese Tabelle wird beteiligt, wenn auf ein Paket getroffen wird, das eine neue Verbindung erstellt. Sie besteht aus vier eingebauten Ketten: PREROUTING (zum Verändern von Paketen direkt beim Eintreffen), INPUT (zum Verändern von Paketen mit Ziel lokaler Sockets), OUTPUT (zum Verändern lokal erstellter Pakete vor der Weiterleitung) und POSTROUTING (zum Verändern von Paketen beim Verlassen der Maschine). IPv6 NAT ist seit Kernel 3.7 verfügbar.
- mangle:
- Diese Tabelle wird für spezialisierte Paketveränderung verwandt. Bis Kernel 2.4.17 hatte sie zwei eingebaute Ketten: PREROUTING (zum Verändern von eingehenden Paketen vor der Weiterleitung) und OUTPUT (zum Verändern von lokal erstellten Paketen vor der Weiterleitung). Seit Kernel 2.4.18 werden drei weitere eingebaute Ketten auch unterstützt: INPUT (für Pakete, die in der Maschine eintreffen), FORWARD (zum Verändern von Paketen, die durch die Maschine weitergeleitet werden) und POSTROUTING (zum Verändern von Paketen beim Verlassen der Maschine).
- raw:
- Diese Tabelle wird hauptsächlich zur Konfiguration von Ausnahmen von der Verbindungsnachverfolgung im Zusammenspiel mit dem Ziel NOTRACK verwandt. Sie wird bei den Netfilter-Hooks mit höherer Priorität registriert und wird daher vor ip_conntrack und allen anderen IP-Tabellen aufgerufen. Sie stellt die folgenden eingebauten Ketten bereit: PREROUTING (für Pakete, die auf beliebigen Netzwerkschnittstellen ankommen) und OUTPUT (für Pakete, die von lokalen Prozessen erstellt werden).
- security:
- Diese Tabelle wird für Netzwerkregeln des Mandatory Access Control (MAC) verwandt, wie sie durch die Ziele SECMARK und CONNSECMARK aktiviert werden. MAC wird durch Linux-Sicherheitsmodule wie SELinux implementiert. Die Security-Tabelle wird nach der Filtertabelle aufgerufen und erlaubt allen Regeln des Discretionary Access Control (DAC) in der Filtertabelle, vor den MAC-Regeln wirksam zu werden. Diese Tabelle stellt die folgenden eingebauten Regeln bereit: INPUT (für Pakete, die in die Maschine selbst kommen), OUTPUT (zur Veränderung lokal erstellter Pakete vor der Weiterleitung) und FORWARD (zur Veränderung von Paketen, die durch die Maschine weitergeleitet werden).
OPTIONEN¶
Die von iptables und ip6tables erkannten Optionen können in mehrere verschiedene Gruppen eingeteilt werden.
BEFEHLE¶
Diese Optionen legen die gewünschte durchzuführende Aktion fest. Auf der Befehlszeile kann, wenn nicht nachfolgend anders vermerkt, nur eine davon angegeben werden. Für lange Versionen der Befehl- und Optionsnamen müssen Sie nur genug Buchstaben verwenden, um sicherzustellen, dass iptables sie von allen anderen Optionen unterscheiden kann.
- -A, --append Kette Regelfestlegung
- Hängt eine oder mehrere Regeln am Ende der ausgewählten Kette an. Wenn die Quell- oder Zielnamen zu mehr als einer Adresse aufgelöst werden können, dann wird eine Regel an jede mögliche Adresskombination angehängt.
- -C, --check Kette Regelfestlegung
- Prüft, ob eine Regel, die mit einer Festlegung übereinstimmt, in der ausgewählten Kette existiert. Dieser Befehl benutzt die gleiche Logik wie -D, um einen übereinstimmenden Eintrag zu finden, aber ändert die bestehende Iptables-Konfiguration nicht und verwendet den Exit-Code, um Erfolg oder Fehlschlag anzuzeigen.
- -D, --delete Kette Regelfestlegung
- -D, --delete Kette Regelnummer
- Löscht eine oder mehrere Regeln aus der ausgewählte Kette. Es gibt zwei Versionen diese Befehls: die Regel kann als Nummer in der Kette festgelegt werden (beginnend bei 1 für die erste Regel) oder als zu übereinstimmende Regel.
- -I, --insert Kette [Regelnummer] Regelfestlegung
- Fügt eine oder mehrere Regeln in die ausgewählte Kette bei der angegebenen Regelnummer ein. Ist daher die Regelnummer 1, dann werden die Regel(n) am Anfang der Kette eingefügt. Dies ist auch die Vorgabe, falls keine Regelnummer angegeben wird.
- -R, --replace Kette Regelnummer Regelfestlegung
- Ersetzt eine Regel in der angegebenen Kette. Falls sich der Quell- und/oder Zielname auf mehrere Adressen auflöst, dann wird der Befehl fehlschlagen. Regeln werden nummeriert, beginnend bei 1.
- -L, --list [Kette]
- Listet alle Regeln in der ausgewählten Kette auf. Falls keine Kette
ausgewählt ist, dann werden alle Ketten aufgelistet. Wie jeder
andere Befehl von Iptables gilt er für die angegebene Tabelle
(»filter« ist die Vorgabe). Daher werden NAT-Regeln durch
folgenden Befehl aufgelistet:
Bitte beachten Sie, dass dies oft mit der Option -n verwandt wird, um lange inverse DNS-Auflösungen zu vermeiden. Es ist auch erlaubt, die Option -Z (zero) anzugeben. Dann wird/werden die Kette(n) atomar aufgelistet und genullt. Die genaue Ausgabe hängt von den anderen übergebenen Argumenten ab. Die genauen Regeln werden unterdrückt, bis Sie
iptables -t nat -n -L
oder iptables-save(8) verwenden.
iptables -L -v - -S, --list-rules [Kette]
- Zeigt alle Regeln in der ausgewählten Kette an. Falls keine Kette ausgewählt ist, dann werden alle Ketten wie bei »iptables-save« angezeigt. Wie jeder andere Befehl von Iptables gilt er für die angegebene Tabelle (»filter« ist die Vorgabe).
- -F, --flush [Kette]
- Leert die ausgewählte Kette (alle Ketten in der Tabelle, falls keine angegeben ist). Dies ist zum Löschen aller Regeln einer nach der anderen äquivalent.
- -Z, --zero [Kette [Regelnummer]]
- Setzt die Paket- und Bytezähler in allen Ketten auf Null, oder nur in der angegebenen Kette oder nur die der angegebenen Regel in einer Kette. Es ist korrekt, auch die Option -L, --list festzulegen, um die Zähler direkt vor dem Bereinigen zu sehen (siehe oben).
- -N, --new-chain Kette
- Erstellt eine benutzerdefinierte Kette mit dem angegebenen Namen. Es darf noch kein Ziel mit diesem Namen geben.
- -X, --delete-chain [Kette]
- Löscht die angegebene Kette. Es darf keine Referenzen auf die Kette geben. Falls diese existieren, müssen Sie die bezugnehmenden Regeln löschen oder ersetzen, bevor die Kette gelöscht werden kann. Die Kette muss leer sein, d.h. sie darf keine Regeln enthalten. Falls kein Argument angegeben ist, werden alle leeren Ketten in der Tabelle gelöscht. Leere eingebaute Ketten können nur mit iptables-nft(8) gelöscht werden.
- -P, --policy Kette Ziel
- Setzt die Richtlinie für die eingebaute (nicht benutzerdefinierte) Kette auf das angegebene Ziel. Das Richtlinienziel muss entweder ACCEPT oder DROP sein.
- -E, --rename-chain Altekette Neuekette
- Benennt die benutzer-spezifizierte Kette in den vom Benutzer bereitgestellten Namen um. Dies ist kosmetisch und hat keine Auswirkungen auf die Struktur der Tabelle.
- -h
- Hilfe. Gibt die (derzeit sehr knappe) Beschreibung der Befehlssyntax aus.
PARAMETER¶
Die folgenden Parameter bilden eine Regelspezifikation (wie sie in den Befehlen add, delete, insert, replace und append verwandt wird).
- -4, --ipv4
- Diese Option hat keine Auswirkungen in iptables und iptables-restore(8). Falls eine Regel mit (und nur mit) ip6tables-restore(8) eingefügt wird, die die Option -4 verwendet, wird sie stillschweigend ignoriert. Alle anderen Verwendungen werden einen Fehler auslösen. Diese Option erlaubt IPv4- und IPv6-Regeln in einer gemeinsamen Regeldatei für die Verwendung mit iptables-restore(8) und ip6tables-restore(8).
- -6, --ipv6
- Falls eine Regel mit (und nur mit) iptables-restore(8) eingefügt wird, die die Option -6 verwendet, wird sie stillschweigend ignoriert. Alle anderen Verwendungen werden einen Fehler auslösen. Diese Option erlaubt IPv4- und IPv6-Regeln in einer gemeinsamen Regeldatei für die Verwendung mit iptables-restore(8) und ip6tables-restore(8). Diese Option hat keine Auswirkungen in ip6tables und ip6tables-restore(8).
- [!] -p, --protocol Protokoll
- Das Protokoll der Regel oder des zu prüfenden Pakets. Das angegebene Protokoll kann entweder tcp, udp, udplite, icmp, icmpv6, esp, ah, sctp, mh oder das besondere Schlüsselwort »all« oder ein numerischer Wert, der eines dieser Protokolle oder ein anderes darstellt. Ein Protokollname aus /etc/protocols ist erlaubt. Ein Argument »!« vor dem Protokoll invertiert den Test. Die Zahl Null ist äquivalent zu all. »all« stimmt mit allen Protokollen überein und wird als Vorgabewert verwandt, wenn diese Option nicht angegeben wird. Beachten Sie, dass außer esp die IPv6-Erweiterungskopfzeilen in ip6tables nicht erlaubt sind. esp und ipv6-nonext können mit Kernelversion 2.6.11 oder neuer verwandt werden. Die Zahl Null ist zu all äquivalent. Dies bedeutet, dass Sie das Protokollfeld nicht direkt auf den Wert 0 überprüfen können. Um mit einer HBH-Kopfzeile zu übereinstimmen, selbst wenn diese die letzte wäre, können Sie -p 0 nicht benutzen, sondern benötigen immer -m hbh.
- [!] -s, --source Adresse[/Maske][,…]
- Quellfestlegung. Adresse kann entweder ein Netzwerkname, ein Rechnername, eine Netzwerk-IP-Adresse (mit /Maske) oder eine einfache IP-Adresse sein. Rechnernamen werden nur einmal aufgelöst, bevor die Regel an den Kernel übergeben wird. Bitte beachten Sie, dass es eine wirklich schlechte Idee ist, einen Namen anzugeben, der über eine Abfrage in der Ferne (wie DNS) aufgelöst wird. Die Maske kann entweder eine IPv4-Netzwerkmaske (für iptables) oder eine einfache Zahl sein, die die Anzahl an 1en (von links gezählt) der Netzwerkmaske festlegt. Daher ist eine Iptables-Maske 24 äquivalent zu 255.255.255.0. Ein Argument »!« vor der Adressangabe invertiert die Bedeutung der Adresse. Der Schalter --src ist ein Alias für diese Option. Mehrere Adressen können angegeben werden, aber dies wird zu mehreren Regeln expandiert (beim Hinzufügen mit -A) oder führt zum Löschen von mehreren Regeln (mit -D).
- [!] -d, --destination Adresse[/Maske][,…]
- Zielfestlegung. Siehe die Beschreibung des Schalters -s (Quelle) für eine detaillierte Beschreibung der Syntax. Der Schalter --dst ist ein Alias für diese Option.
- -m, --match Übereinstimmung
- Gibt eine zu verwendende Übereinstimmung an; das heißt ein Erweiterungsmodul, das auf eine bestimmte Eigenschaft prüft. Die Gruppe der Übereinstimmungen stellt die Bedingung dar, unter der ein Ziel aufgerufen wird. Übereinstimmungen werden in der Reihenfolge der Angabe auf der Befehlszeile (von der ersten zur letzten) ausgewertet und funktionieren in der Kurzschlussart. Das heißt, falls eine Erweiterung als »falsch« ausgewertet wird, wird die Auswertung beendet.
- -j, --jump Ziel
- Dies gibt das Ziel der Regel an; d.h., was passiert, wenn das Paket übereinstimmt. Das Ziel kann eine benutzerdefinierte Kette sein (die sich von der unterscheidet, in der die Regel ist), eines der besonderen eingebauten Ziele, die sofort über das Schicksal dieses Paketes entscheiden oder eine Erweiterung (siehe nachfolgende ERWEITERUNGEN). Falls diese Option in einer Regel nicht angegeben wird (und -g nicht verwandt wird), dann wird die übereinstimmende Regel keine Auswirkung auf das Schicksal des Paketes haben, aber die Zähler der Regel werden erhöht.
- -g, --goto Kette
- Dies gibt an, dass die Verarbeitung in einer benutzerderfinierten Kette fortfahren soll. Anders als die Option »--jump« wird bei »return« die Verarbeitung nicht in dieser Kette fortgefahren, sondern in der Kette, die dies mittels »--jump« aufrief.
- [!] -i, --in-interface Name
- Name der Schnittstelle mittels der ein Paket empfangen wurde (nur für Pakete, die in die Ketten INPUT, FORWARD und PREROUTING eintreten). Wird das Argument »!« vor dem Schnittstellennamen verwandt, wird die Bedeutung invertiert. Falls der Schnittstellenname auf ein »+« endet, dann werden alle Schnittstellen übereinstimmen, die mit diesem Namen beginnen. Falls diese Option nicht angegeben wird, dann stimmen alle Schnittstellennamen überein.
- [!] -o, --out-interface Name
- Name der Schnittstelle mittels der ein Paket gesendet wird (für Pakete, die in die Ketten FORWARD, OUTPUT und POSTROUTING eintreten). Wird das Argument »!« vor dem Schnittstellennamen verwandt, wird die Bedeutung invertiert. Falls der Schnittstellenname auf ein »+« endet, dann werden alle Schnittstellen übereinstimmen, die mit diesem Namen beginnen. Falls diese Option nicht angegeben wird, dann stimmen alle Schnittstellennamen überein.
- [!] -f, --fragment
- Dies bedeutet, dass sich die Regel nur auf das zweite und weitere IPv4-Fragmente des fragmentierten Pakets bezieht. Da es keine Möglichkeit gibt, den Quell- oder Zielport (oder den ICMP-Typ) solcher Pakete zu bestimmen, stimmen diese Pakete nicht mit irgend einer Regel überein, die diese festlegen. Steht das Argument »!« vor dem Schalter »-f«, dann stimmt die Regel nur mit Kopffragmenten oder nicht fragmentierten Paketen überein. Diese Option ist IPv4-spezifisch und in ip6tables nicht verfügbar.
- -c, --set-counters Pakete Bytes
- Diese Regel ermöglicht es dem Administrator, die Paket- und Bytezähler einer Regel zu aktivieren (während der Aktionen INSERT, APPEND, REPLACE).
WEITERE OPTIONEN¶
Die folgenden zusätzlichen Optionen können festgelegt werden:
- -v, --verbose
- Ausführliche Ausgabe. Diese Option führt dazu, dass der Befehl »list« Schnittstellennamen, die Regeloptionen (falls vorhanden) und die TOS-Masken anzeigt. Die Paket- und Bytezähler werden auch aufgeführt, mit den Endungen »K«, »M« oder »G« für 1000, 1.000.000 bzw. 1.000.000.000 (aber siehe den Schalter -x um dies zu ändern). Beim Anhängen, Einfügen, Löschen und Ersetzen führt dieser Schalter zu detaillierten Informationen über die auszugebenden Regel(n). -v kann mehrfach angegeben werden, um möglicherweise detailliertere Fehlersuchausgaben zu erzeugen: Zweimal angegeben wird iptables-legacy Tabelleninformationen und Einträge in libiptc rausschreiben, iptables-nft wird Regeln in Netlink (VM-Code) -Darstellungen rausschreiben. Dreimal angegeben wird iptables-nft auch alle an den Kernel gesandten Netlinkmeldungen rausschreiben.
- -V, --version
- Zeigt die Programmversion und die verwandte Kernel-API.
- -w, --wait [Sekunden]
- Wartet auf die Xtables-Sperre. Um zu verhindern, dass mehrere Instanzen des Programms gleichzeitig laufen, wird beim Start versucht, eine exklusive Sperre zu erlangen. Standardmäßig wird sich das Programm beenden, falls die Sperre nicht erlangt werden kann. Diese Option führt dazu, dass das Programm wartet (endlos oder für die optionalen Sekunden), bis die exklusive Sperre erlangt werden kann.
- -n, --numeric
- Numerische Ausgabe. IP-Adressen und Port-Nummern werden im numerischen Format dargestellt. Standardmäßig wird das Programm versuchen, sie als Rechnernamen, Netzwerknamen oder Dienste (wo anwendbar) anzuzeigen.
- -x, --exact
- Expandiert Zahlen. Zeigt den genauen Wert der Paket- und Bytezähler an, statt nur die gerundete Anzahl in Ks (Vielfaches von 1000), Ms (Vielfaches von 1000 K) oder Gs (Vielfaches von 1000 M). Diese Option ist nur für den Befehl -L relevant.
- --line-numbers
- Fügt beim Auflisten von Regeln Zeilennummern zu jeder Regel hinzu, die der Position dieser Regel in der Kette entspricht.
- --modprobe=Befehl
- Verwendet beim Hinzufügen oder Einfügen von Regeln in einer Kette Befehl, um notwendige Module (Ziele, Übereinstimmungserweiterungen usw.) zu laden.
SPERRDATEI¶
Iptables verwendet die Datei /run/xtables.lock, um eine exklusive Sperre beim Start zu erlangen.
Die Umgebungsvariable XTABLES_LOCKFILE kann dazu verwandt werden, die Standardeinstellung außer Kraft zu setzen.
ÜBEREINSTIMMUNGS- UND ZIELERWEITERUNGEN¶
Iptables kann erweiterte Paketübereinstimmungs- und -zielmodule benutzen. Eine Liste dieser ist in der Handbuchseite iptables-extensions(8) verfügbar.
DIAGNOSE¶
Verschiedene Fehlermeldungen werden auf die Standardfehlerausgabe ausgegeben. Der Exit-Code ist bei korrektem Funktionieren 0. Fehler, die aufgrund ungültiger oder missbräuchlicher Befehlszeilenparameter verursacht werden, führen zu einem Exit-Code von 2 und andere Fehler führen zu einem Exit-Code von 1.
FEHLER¶
Fehler? Was sind das? ;-) Nun, vielleicht möchten Sie dazu auf http://bugzilla.netfilter.org/ schauen. iptables wird sich sofort mit einem Fehler-Code von 111 beenden, wenn es bemerkt, dass es als setuid-to-root-Programm aufgerufen wurde. Iptables kann auf diese Art nicht sicher verwandt werden, da es den zur Laufzeit geladenen dynamischen Bibliotheken (Übereinstimmungen, Zielen) vertraut und der Suchpfad mittels Umgebungsvariablen gesetzt werden kann.
KOMPATIBILITÄT MIT IPCHAINS¶
Dieses iptables ist sehr ähnlich dem Ipchains von Rusty Russell. Der Hauptunterschied besteht darin, dass die Ketten INPUT und OUTPUT nur für Pakete durchlaufen werden, die in den lokalen Rechner eintreten bzw. von dem lokalen Rechner stammen. Daher läuft jedes Paket nur durch eine der drei Ketten (außer dem Loopback-Verkehr, der sowohl die Ketten INPUT als auch OUTPUT durchläuft); in der alten Ipchains-Version liefen weitergeleitete Pakete durch alle drei.
Der andere Hauptunterschied besteht darin, dass sich -i auf die Eingabeschnittstelle bezieht; sich -o auf die Ausgabeschnittstelle bezieht und beide für Pakete verfügbar sind, die in die Kette FORWARD eintreten.
Die verschiedenen Arten von NAT wurden abgetrennt; iptables ist beim Einsatz der Standardtabelle »filter« ein reiner Paketfilter, mit optionalen Erweiterungsmodulen. Dies sollte einen Großteil der früheren Verwirrung über die Kombination von IP-Masquerading und Paketfilterung vereinfachen. Daher werden die folgenden Optionen anders gehandhabt:
Es gibt eine Reihe weiterer Änderungen in Iptables.
-j MASQ
-M -S
-M -L
SIEHE AUCH¶
iptables-apply(8), iptables-save(8), iptables-restore(8), iptables-extensions(8),
Das packet-filtering-HOWTO gibt weitere Dateils zum Einsatz von
Iptables zur Paketfilterung, das NAT-HOWTO gibt Details zum NAT, das
netfilter-extensions-HOWTO gibt Details zu Erweiterungen, die nicht in der
Standarddistribution sind und das netfilter-hacking-HOWTO gibt Details zu
den Interna von Netfilter.
Siehe http://www.netfilter.org/.
AUTOREN¶
Iptables wurde ursprünglich von Rusty Russell geschrieben, am Anfang stimmte er sich mit Michael Neuling ab.
Marc Boucher bewegte Rusty zur Aufgabe von Ipnatctl, indem er für ein generisches Paketauswahl-Rahmenwerk in Iptables warb, schrieb dann die Tabelle »mangle«, die Eigentümerübereinstimmung, das Markierungszeug und machte überall coole Dinge.
James Morris schrieb das TOS-Ziel und die TOS-Übereinstimmung.
Jozsef Kadlecsik schrieb das REJECT-Ziel.
Harald Welte schrieb das ULOG- und NFQUEUE-Ziel, das neue Libiptc, sowie die TTL-, DSCP-, ECN-Übereinstimmungen und -Ziele.
Das Netfilter-Kernteam besteht aus: Jozsef Kadlecsik, Pablo Neira Ayuso, Eric Leblond, Florian Westphal und Arturo Borrero Gonzalez. Ehemalige Kernteammitglieder sind: Marc Boucher, Martin Josefsson, Yasuyuki Kozakai, James Morris, Harald Welte und Rusty Russell.
Die Handbuchseite wurde ursprünglich von Herve Eychenne <rv@wallfire.org> geschrieben.
VERSION¶
Diese Handbuchseite gilt für iptables/ip6tables 1.8.9.
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
iptables 1.8.9 |